-
Junior Member
- Вес репутации
- 58
Не открываются сайты и лишние процессы в диспетчере задач
Добрый день.
После недавнего лечения была рекомендация обновить сервис пак до версии 3 и все сопутствующие обновления по безопасности и т.п.
Все сделал, как описано.
Однако, последние дни наблюдаю ужасную работу компа. Любые сайты практически не открываются, работает только скайп или аська. Windows Defender постоянно находит опасность. В диспетчере нашел лишние процессы, к примеру syscache.exe и подобное..
Вобщем, жду повторной помощи от вас.
Заранее благодарен...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\rssoft\redswoosh.exe');
TerminateProcessByName('c:\windows\system32\syscache.exe');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('C:\System Volume Information\_restore{2689278C-34D9-4C6A-9C36-B8CBE8999AF7}\RP55\A0008131.exe','');
QuarantineFile('C:\WINDOWS\system32\syscache.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\system32\byXQJBUN','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Application Data\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8579440342-4179695166-344899417-2969\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8579440342-4179695166-344899417-2969\syscr.exe');
QuarantineFile('c:\windows\system32\syscache.exe','');
QuarantineFile('c:\program files\rssoft\redswoosh.exe','');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
QuarantineFile('c:\windows\cfdrive32.exe','');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\syscache.exe');
DeleteFile('C:\Documents and Settings\Administrator\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','90223');
DeleteFile('C:\WINDOWS\system32\syscache.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-8579440342-4179695166-344899417-2969', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-8579440342-4179695166-344899417-2969');
DeleteFile('C:\System Volume Information\_restore{2689278C-34D9-4C6A-9C36-B8CBE8999AF7}\RP55\A0008131.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось grahov; 20.08.2010 в 15:32.
-
1. удалите в MBAM
Код:
Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c9e1967-fa81-47c2-b649-5e52a35d854f} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{514a5c49-0c7d-42c3-a71b-38864a269b7a} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{87862e26-bda0-4a78-b94c-86bcb9428a6f} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{e5d5d4a1-17f0-41d7-b1c6-0979f91e6f46} (Adware.BDSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{a7f05ee4-0426-454f-8013-c41e3596e9e9} (Trojan.Cinmus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Cleanup.dll (Rogue.AntiVirus2008) -> No action taken.
HKEY_CLASSES_ROOT\gktxaspm.bpew (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\antivirusxp2008 (Rogue.AntiVirus2008) -> No action taken.
HKEY_CURRENT_USER\Software\Baidu (Adware.Bdsearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dllcache (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dllcache (Backdoor.Agent) -> No action taken.
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{87862e26-bda0-4a78-b94c-86bcb9428a6f} (Trojan.Vundo) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
Folders Infected:
C:\Documents and Settings\Administrator\Application Data\Baidu (Trojan.Cinmus) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\Baidu\Toolbar (Trojan.Cinmus) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\Baidu\Toolbar\Custom Buttons (Trojan.Cinmus) -> No action taken.
C:\Program Files\AntivirusXP2008 (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Bases (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Cache (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Modules (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Plugins (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Skins (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Sounds (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\Baidu (Adware.Baidu) -> No action taken.
C:\Program Files\Baidu\Toolbar (Adware.Baidu) -> No action taken.
C:\Program Files\MyWebSearch (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\SrchAstt (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\SrchAstt\1.bin (Adware.MyWebSearch) -> No action taken.
C:\WINDOWS\system32\959563 (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Files Infected:
C:\Documents and Settings\Administrator\Application Data\Baidu\Toolbar\Custom Buttons\custom.xml (Trojan.Cinmus) -> No action taken.
C:\Program Files\AntivirusXP2008\htmlayout.dll (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\loader.htm (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\msxml.dll (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\SmartLoader.exe (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Bases\boot8d_vm.bin (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Bases\kernel46r_lg.bin (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Bases\spy2_ew.bin (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Bases\sys35_lh.bin (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Modules\Cleanup.dll (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Skins\Default.smart (Rogue.AntiVirus2008) -> No action taken.
C:\Program Files\AntivirusXP2008\Sounds\virfound.wav (Rogue.AntiVirus2008) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Administrator\Application Data\usernt.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\msvcrt2.dll (Malware.Traces) -> No action taken.
C:\WINDOWS\BMcf234424.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BMcf234424.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\byXQJBUN');
ExecuteRepair(13);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 58
-
еще что-нибудь беспокоит?
-
-
Junior Member
- Вес репутации
- 58
все хорошо.. спасибо. В чем была пролема? где дыры?
-
из пойманных - Trojan.Win32.Scar.cprx
на счет дыр:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\cfdrive32.exe - Trojan.Win32.Scar.cprx ( DrWEB: Trojan.Packed.20893, BitDefender: Worm.Generic.270139, NOD32: Win32/AutoRun.IRCBot.DZ worm, AVAST4: Win32:Flot-U [Wrm] )
- c:\\windows\\system32\\msvmiode.exe - Trojan.Win32.Scar.cprx ( DrWEB: Trojan.Packed.20893, BitDefender: Worm.Generic.270139, NOD32: Win32/AutoRun.IRCBot.DZ worm, AVAST4: Win32:Flot-U [Wrm] )
- c:\\windows\\system32\\syscache.exe - Trojan.Win32.Scar.cprx ( DrWEB: Trojan.Packed.20893, BitDefender: Worm.Generic.270139, NOD32: Win32/AutoRun.IRCBot.DZ worm, AVAST4: Win32:Flot-U [Wrm] )
-